php pdo字符,关于php:真正的转义字符串和PDO

最新推荐文章于 2021-03-25 04:20:33 发布
最新推荐文章于 2021-03-25 04:20:33 发布
阅读量229 收藏
点赞数
文章标签: php pdo字符

本问题已经有最佳答案,请猛点这里访问。

我在从MySQL库迁移后使用PDO。我用什么来代替旧的real_escape_string功能?

我需要转义单引号,这样它们就会进入我的数据库,我认为可能有更好的方法来处理这一点,而不添加(斜线)到我的所有字符串。有人能告诉我应该用什么吗?

对参与方来说有点晚了,但是如果Prepare()方法不是选项(例如,当您构建自己的模型时),则可以使用pdo::quote()。

你应该使用PDO Prepare

从链接:

Calling PDO::prepare() and PDOStatement::execute() for statements that will be issued multiple times with different parameter values optimizes the performance of your application by allowing the driver to negotiate client and/or server side caching of the query plan and meta information, and helps to prevent SQL injection attacks by eliminating the need to manually quote the parameters.

谢谢。我以前读过,但后来听说PDO准备不会阻止SQL注入。我不知道该相信什么了。你确定准备会阻止注射攻击吗?

PDO防止SQL注入。(它没有帮助防止XSS Vuerabilities,但mysql也没有真正的逃逸)

是的,这就是为什么我想要另一个选择。我已经在一些地方读到了这篇文章,并记得我曾经思考过有多少网站现在会受到攻击。我很想自己对此有一个明确的答案。

约翰:是的,如果你使用正确,比尔在这篇文章中有一个很好的解释——>stackoverflow.com/questions/1314521/…

@不,我同意XSS,但我仍然担心准备而不是保护。你确定吗?如果它真的可以防止注入攻击,那么我就用它。

@子母弹-我有疑问,并没有深入研究,但我认为问别人不会有什么伤害。我可没有下一个乔那么好。

@斯特德:谢谢,我现在正在看。

任何数据库层都无法保护您免受XSS的攻击,因为这是页面输出时间转义的问题,与数据库无关。虽然许多错误引导的作者尝试在SQL转义或输入值溢出的同时进行HTML转义,但这是解决此问题的错误时间,通常会导致不完整的保护以及其他令人讨厌的错误。

如果这个答案是正确的,那么为什么我的PDO没有准备好从参数中包含的字符串中正确地转义单引号?

"PDO PREPARE不会阻止SQL注入"-它将通过常量值(例如变量分配)防止注入,但不会保护其他地方的注入,例如标识符(表/列名称)中的注入。如果使用来自用户输入的表名,那么需要注意避免通过该向量进行SQL注入。

有关准备好的语句如何防止SQL注入的深入解释,请阅读:stackoverflow.com/a/12202218。

PDO提供了一种替代方案,旨在用pdo::quote()方法替换mysql_escape_string()。

以下是PHP网站的摘录:

$conn = new PDO('sqlite:/home/lynn/music.sql3');

/* Simple string */

$string = 'Nice';

print"Unquoted string: $string

";

print"Quoted string:" . $conn->quote($string) ."

";

?>

上述代码将输出:

Unquoted string: Nice

Quoted string: 'Nice'

我目前正在将旧代码迁移到使用PDO的过程中,虽然这个解决方案是一个很好的解决方案,但是人们需要意识到它会在字符串周围加引号。因此,如果人们构建的查询已经有了像"SELECT * FROM users WHERE username = '".$conn->quote($username)."'";这样的引号,那么查询将不可避免地失败。

接受的答案可能是推荐的方法和最佳实践,但这个答案是对实际问题的正确答案。有时,您实际上需要使用旧的mysql_escape_string函数,例如,如果您正在构建一个要稍后执行的文件。你不能用事先准备好的声明来做这件事。

使用准备好的语句。它们将数据和语法分开,从而消除了对MySQL数据进行转义的需要。请参见例如本教程。

皮斯克沃,谢谢。我已经在使用它们了,只是在错误出现的地方没有。我只是想知道Prepare是否真的能阻止注射攻击。我听过相反的说法,似乎有很多争论。

@约翰:是的,准备好的语句将停止SQL注入攻击。(当然,SQL注入只是一个可能的攻击向量,因此防止它们不是一个魔法"如果你的网站现在完全安全"的灰尘)

@约翰没有一场辩论。事实上只有你在辩论。

贾维斯:是的。还有……?

啊,好吧,只是觉得你还想再加点什么。很好的指向文档的链接,谢谢。

准备好的语句并不能抵御所有类型的SQL注入,例如,如果使用动态表名。有关更多详细信息,请参阅我对已接受答案的评论。

当然,它们不是万无一失的;只要有足够的努力,你就可以用任何东西射自己的脚。但是,它们确实删除了最常见的错误类型/攻击向量。

这在某些情况下是有帮助的,但是如果您试图插入或更新数据,并且列和或表名来自变量,那么就可以了。那就没用了。因为只有当数据在select语句中时,它才会允许您包含列名。因此,如果从变量中获取表名,或者执行插入或更新操作,并且从变量中获取列名,那么仍然需要转义数据。

@基特拉莫斯:我想说,虽然有各种特殊情况,但准备好的声明对最常见的情况有帮助。当然,如果您正在做一些高级的工作,这可能不是适合该工作的工具;但是我猜90%的SQL语句(以及99.9%的按执行量计算)确实属于选择/插入/更新类别,其中准备好的查询是该工作的正确工具。(从我在代码中看到的内容来看——注意问题来自2010年——动态列名要么是A.高度特定的元代码(数据库管理),要么是B.无体系结构的代码(非规范化))。

weixin_39955154
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php实现处理输入转义字符的代码
12-19
`addslashes()`函数是PHP中用于手动转义字符串中特定字符的函数,它会在单引号(')、双引号(")、反斜线(\)和NUL字符前添加反斜线。例如,如果字符串是`abc'de"f`,`addslashes()`函数会将其转换为`abc\'de\"f`...
浅析php过滤html字符串,防止SQL注入的方法
12-18
为了确保这些数据的安全性,我们可以使用自定义的`stripslashes_array`函数来去除反斜杠,以防止黑客使用转义字符构造恶意SQL语句。以下是该函数的代码: ```php function stripslashes_array(&$array) { while...
mysql 转义 数组_php转义IN语句PDO MYSQL的字符串数组
weixin_39738251的博客
02-27 101
参见英文答案 >Can I bind an array to an IN() condition?21个我没有运行循环来更新表中的值,而是想使用IN语句(假设它更快?).我有一系列值:$array (1 => Tom2 => Bob3 => Sally's String4 => Pesce is ...
php转义字符串
漂渺影子的专栏
09-07 105
今天碰到一个处理文件特殊字符的事情,再次注意到这个问题,在php中: * 以单引号为定界符的php字符串,支持两个转义\'和\\* 以双引号为定界符的php字符串,支持下列转义: \n 换行(LF 或 ASCII 字符 0x0A(10)) \r 回车(CR 或 ASCII 字符 0x0D(13)) \t 水平制表符(HT 或 ASCII 字符 0x09(9)) \\ 反斜线 \$ 美元符...
php pdo取消自动转义html标签,PDO能不自动转义吗?
weixin_30533301的博客
03-22 175
我数据库有一个字段是这样存的,array (1 =>array (\'id\' => 1,\'name\' => \'测试\',\'desc\' => NULL,\'url\' => \'http://163.com\',\'parent\' => 0,),)写了个备份的程序,导出以后的格式也没有错INSERT INTO `table` VALUES('name...
phppdo->exec,PHPPDO::exec()
weixin_35788791的博客
03-25 284
PDO::exec()函数执行一条SQL语句,并返回受影响的行数int PDO::exec ( string $statement )当执行INSERT、UPDATE、DELETET等没有结果集的查询时,使用PDO对象中的exec()方法去执行。该方法成功执行后,将返回受影响的行数...
php pdo字符,PHP:(PDO)Mysql最有效的方式来添加字符串以返回db的值
weixin_30699915的博客
03-18 101
在一个mysql数据库中,我存储了一些没有确切路径的图像名称。所以我想要做的就是在将返回的数组加载到jQuery(json)中以在JQ Galleria插件中使用它之前添加路径。在列中,我有这样的名字:11101x1xTN.png 11101x2xTN.png 11101x3xTN.png最后应该如何:./test/img/cars/bmw/11101/11101x1xTN.png./test/i...
PHP使用正则表达式实现过滤非法字符串功能示例
12-20
在示例中,我们过滤了包含“黑客”、“抓包”和“监听”这些关键词的字符串,将它们替换为星号“****”,这是因为这些词可能与恶意活动有关。 ```php $titles = preg_replace("/(黑客)|(抓包)|(监听)/", $str, $...
pdo.rar_php pdo
09-24
9. **数据源名称(DSN)**:DSN是描述数据库连接的字符串,它包含了数据库类型、主机名、数据库名等信息,使得配置数据库连接变得简单。 10. **编码支持**:PDO可以处理多种字符编码,确保数据在传输和存储过程中的...
php中数据库连接方式pdo和mysqli对比分析
12-19
PDO通常通过`PDO::quote()`函数手工设置SQL安全值,而mysqli则使用`mysqli_real_escape_string()`函数来转义可能的SQL注入字符串。虽然两者都能提供一定程度的保护,但使用预处理语句通常是更安全的选择。 7. **...
PDO::quote讲解
12-20
PDO::quote PDO::quote — 为SQL语句中的字符串添加引号。(PHP 5 >= 5.1.0, PECL pdo >= 0.2.1) 说明 语法 public string PDO::quote ( string $string [, int $parameter_type = PDO::PARAM_STR ] ) PDO::quote()为SQL语句中的字符串添加引号或者转义特殊字符串。 参数 string 要添加引号的字符串。 parameter_type 为驱动程序提供数据类型。 返回值 返回一个带引号的字符串,理论上可以安全的传递到SQL语句中并执行。如果该驱动程序
mysql 表名转义_PDO如何处理SQL语句中对字段名以及表名的转义
weixin_35767799的博客
01-19 410
比如在一个数据表中有一个字段叫order,是专门用来做排序的,我的语句可能要这么写$sth = $pdo->prepare('SELECT * FROM table_name ORDER BY order ASC');$sth->execute();但是因为order本身是一个关键字,那么在执行的时候就会报syntax错误,我知道在pdo里对字段可以用:column_name来动态绑定...
pdo mysql ascii_在PDO语句中转义列名
weixin_35671798的博客
02-08 59
小编典典进行分隔标识符的ANSI标准方法是:SELECT "field1" ...如果名称中有一个“,请将其加倍:SELECT "some""thing" ...不幸的是,在默认设置下,这在MySQL中不起作用,因为MySQL倾向于认为双引号可以代替字符串文字的单引号。在这种情况下,您必须使用反引号(如Björn所述)和反斜杠转义。为了正确地进行反斜杠转义,您 将 需要mysql_real_esc...
PHP转义的数组怎么处理,关于phpPDO与内爆数组转义
weixin_30768925的博客
03-21 136
我目前正在学习PDO(从MySQLi转移过来的),因为MySQLi的准备好的语句很糟糕。但是,我之前从未在此级别上完全尝试过PDO。我正在尝试创建一个包含多个常用函数的PDO数据库类,以便根据该函数的给定信息来构建查询。这是我的delete()函数,将用于从表中删除行:public function delete( $table, $where = array(), $limit = '' ) {...
php转义字符
2号自信的博客
12-22 1335
php用什么方法可以将一个字符串中所有特殊字符转义输出? PHP5.5以后废弃了mysql扩展,可以转用mysqli或者pdo_mysql,所以mysql_real_escape_string函数,如果用mysqli的话可以用mysqli_real_escape_string代替 不过建议用pdo_mysql,使用预处理语句提高安全性。   htmlspecia
php pdo 占位符,PHP PDO转义问号所以它不认为它是占位符
weixin_28856331的博客
03-22 285
我有一个看起来像这样的查询:SELECT CONCAT('path/to/page/?id=', id) AS link FROM users WHERE name = ?我正在使用PDO准备此声明,我收到错误Invalid parameter number: number of bound variables does not match number of tokens因为它认为CONCAT字...
PHP中使用转义字符“\”对字符串进行转义
iteye_5722的博客
01-03 710
一 代码实例 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <metahttp-equiv="Content-Type"content=&quot
PDO防数据库注入的解决思路
慢慢的专栏
06-24 537
//方式一:PDO::quote() 为SQL语句中的字符串添加引号或者转义特殊字符串,防止SQL注入 $user= $pdo->quote($user); $sql="SELECT *FROM wuti_test WHERE name={$user} AND pass='{$pass}'"; $stmt=$pdo->query($sql); $num=$stmt->rowCount();
php加上转义字符函数
最新发布
04-02
PHP 中,可以使用 addslashes() 函数来为字符串中的特殊字符添加转义符,以防止 SQL 注入等安全问题。例如: ``` $str = "I'm a PHP developer."; $str = addslashes($str); echo $str; // 输出:I\'m a PHP developer. ``` 注意,addslashes() 函数只为以下字符添加转义符: - 单引号(') - 双引号(") - 反斜线(\) - NULL(\0) 如果需要为其他特殊字符添加转义符,可以使用 addslashes() 的替代函数,例如 mysqli_real_escape_string() 或 PDO::quote()。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值